Les chercheurs en cybersécurité ont révélé des détails sur des failles désormais corrigées dans Zendesk Explore qui auraient pu être exploitées par un attaquant pour obtenir un accès non autorisé aux informations des comptes clients sur lesquels la fonctionnalité est activée.
« Avant qu’elle ne soit corrigée, la faille aurait permis aux acteurs de la menace d’accéder aux conversations, aux adresses e-mail, aux tickets, aux commentaires et à d’autres informations des comptes Zendesk avec Explore activé », Varonis a dit dans un rapport partagé avec The Hacker News.
La société de cybersécurité a déclaré qu’il n’y avait aucune preuve suggérant que les problèmes étaient activement exploités dans des attaques réelles. Aucune action n’est requise de la part des clients.
Zendesk Explore est un solution de reporting et d’analyse qui permet aux organisations de « visualiser et analyser des informations clés sur vos clients et vos ressources d’assistance ».
Selon la société de logiciels de sécurité, l’exploitation de la faille nécessite d’abord qu’un attaquant s’enregistre sur le billetterie du compte Zendesk de sa victime en tant que nouvel utilisateur externe, une fonctionnalité qui est probablement activée par défaut pour permettre aux utilisateurs finaux de soumettre des tickets d’assistance.
La vulnérabilité concerne une injection SQL dans son API GraphQL qui pourrait être exploitée pour exfiltrer toutes les informations stockées dans la base de données en tant qu’utilisateur administrateur, y compris les adresses e-mail, les tickets et les conversations avec des agents en direct.
Une deuxième faille concerne un problème d’accès logique associé à une API d’exécution de requêtes, qui était configurée pour exécuter les requêtes sans vérifier si « l’utilisateur » effectuant l’appel disposait des autorisations adéquates pour le faire.
« Cela signifiait qu’un utilisateur final nouvellement créé pouvait invoquer cette API, modifier la requête et voler des données de n’importe quelle table dans le RDS du compte Zendesk cible, aucun SQLi requis »,
Varonis a déclaré que les problèmes avaient été divulgués à Zendesk le 30 août, après quoi les faiblesses avaient été corrigées par la société le 8 septembre 2022.
